'Id giả' và bảo mật Android [đã cập nhật]

Hôm nay, công ty nghiên cứu bảo mật BlueBox - cùng công ty đã phát hiện ra lỗ hổng được gọi là "Master Key" của Android - đã thông báo phát hiện ra lỗi trong cách Android xử lý chứng chỉ nhận dạng được sử dụng để ký các ứng dụng. Lỗ hổng, mà BlueBox đã đặt tên là "Fake ID", cho phép các ứng dụng độc hại liên kết với các chứng chỉ từ các ứng dụng hợp pháp, do đó có quyền truy cập vào nội dung mà chúng không nên truy cập.

Các lỗ hổng bảo mật như thế này nghe có vẻ đáng sợ và chúng ta đã thấy một hoặc hai tiêu đề cường điệu ngày hôm nay khi câu chuyện này bị phá vỡ. Tuy nhiên, bất kỳ lỗi nào cho phép ứng dụng thực hiện những việc mà chúng không được coi là một vấn đề nghiêm trọng. Vì vậy, hãy tổng hợp những gì đang diễn ra một cách ngắn gọn, ý nghĩa của nó đối với bảo mật Android và liệu nó có đáng lo ngại về …

Cập nhật: Chúng tôi đã cập nhật bài viết này để phản ánh xác nhận từ Google rằng cả Play Store và tính năng "xác minh ứng dụng" thực sự đã được cập nhật để giải quyết lỗi Fake ID. Điều này có nghĩa là phần lớn các thiết bị Google Android đang hoạt động đã được bảo vệ khỏi vấn đề này, như được thảo luận sau trong bài viết. Tuyên bố đầy đủ của Google có thể được tìm thấy ở cuối bài này.

Vấn đề - Chứng chỉ Dodgy

'ID giả' bắt nguồn từ một lỗi trong trình cài đặt gói Android.

Theo BlueBox, lỗ hổng bắt nguồn từ một sự cố trong trình cài đặt gói Android, một phần của HĐH xử lý việc cài đặt ứng dụng. Trình cài đặt gói dường như không xác minh chính xác tính xác thực của "chuỗi" chứng chỉ kỹ thuật số, cho phép chứng chỉ độc hại khẳng định nó được cấp bởi một bên đáng tin cậy. Đó là một vấn đề vì chữ ký kỹ thuật số nhất định cung cấp cho ứng dụng quyền truy cập vào một số chức năng của thiết bị. Chẳng hạn, với Android 2.2-4.3, các ứng dụng mang chữ ký của Adobe được cấp quyền truy cập đặc biệt vào nội dung xem trên web - một yêu cầu hỗ trợ Adobe Flash mà nếu sử dụng sai có thể gây ra sự cố. Tương tự, giả mạo chữ ký của một ứng dụng có quyền truy cập đặc quyền vào phần cứng được sử dụng để thanh toán an toàn qua NFC có thể cho phép một ứng dụng độc hại chặn thông tin tài chính nhạy cảm.

Đáng lo ngại hơn, một chứng chỉ độc hại cũng có thể được sử dụng để mạo danh một số phần mềm quản lý thiết bị từ xa, chẳng hạn như 3LM, được một số nhà sản xuất sử dụng và cấp quyền kiểm soát rộng rãi cho thiết bị.

Như nhà nghiên cứu của BlueBox, Jeff Foristall viết:

"Chữ ký ứng dụng đóng vai trò quan trọng trong mô hình bảo mật Android. Chữ ký của ứng dụng thiết lập ai có thể cập nhật ứng dụng, ứng dụng nào có thể chia sẻ dữ liệu của nó, v.v. Một số quyền, được sử dụng để truy cập chức năng, chỉ có thể sử dụng được bởi các ứng dụng có cùng chữ ký với người tạo quyền. Thú vị hơn, chữ ký rất cụ thể được trao đặc quyền trong một số trường hợp nhất định."

Mặc dù sự cố Adobe / webview không ảnh hưởng đến Android 4.4 (vì giờ đây webview dựa trên Chromium, không có cùng móc Adobe), lỗi trình cài đặt gói bên dưới rõ ràng tiếp tục ảnh hưởng đến một số phiên bản KitKat. Trong một tuyên bố được đưa ra cho Android Central Google cho biết: "Sau khi nhận được thông tin về lỗ hổng này, chúng tôi đã nhanh chóng đưa ra một bản vá được phân phối cho các đối tác Android, cũng như cho Dự án mã nguồn mở Android".

Google cho biết không có bằng chứng 'ID giả' đang bị khai thác ngoài tự nhiên.

Cho rằng BlueBox cho biết họ đã thông báo cho Google vào tháng 4, có khả năng mọi sửa chữa sẽ được đưa vào Android 4.4.3 và có thể là một số bản vá bảo mật dựa trên 4.4.2 từ các OEM. (Xem mã cam kết này - cảm ơn Anant Shrivastava.) Thử nghiệm ban đầu với ứng dụng riêng của BlueBox cho thấy LG G3 châu Âu, Samsung Galaxy S5 và HTC One M8 không bị ảnh hưởng bởi Fake ID. Chúng tôi đã liên hệ với các OEM Android lớn để tìm hiểu những thiết bị khác đã được cập nhật.

Về thông tin cụ thể về âm hộ giả ID, Forristal nói rằng anh sẽ tiết lộ thêm về Hội nghị Mũ đen ở Las Vegas vào ngày 2 tháng 8. Trong tuyên bố của mình, Google cho biết họ đã quét tất cả các ứng dụng trong Cửa hàng Play của mình và một số được lưu trữ trong các cửa hàng ứng dụng khác và không tìm thấy bằng chứng nào cho thấy việc khai thác đang được sử dụng trong thế giới thực.

Giải pháp - Sửa lỗi Android với Google Play

Thông qua Play Services, Google có thể khắc phục lỗi này một cách hiệu quả trên hầu hết hệ sinh thái Android đang hoạt động.

ID giả là một lỗ hổng bảo mật nghiêm trọng mà nếu nhắm đúng mục tiêu có thể cho phép kẻ tấn công gây thiệt hại nghiêm trọng. Và vì lỗi cơ bản chỉ mới được xử lý gần đây trong AOSP, có vẻ như phần lớn điện thoại Android đã sẵn sàng để tấn công và sẽ vẫn như vậy trong tương lai gần. Như chúng ta đã thảo luận trước đây, nhiệm vụ cập nhật hàng tỷ điện thoại Android đang hoạt động là một thách thức lớn và "phân mảnh" là một vấn đề được tích hợp trong DNA của Android. Nhưng Google có một con át chủ bài để chơi khi xử lý các vấn đề bảo mật như thế này - Dịch vụ Google Play.

Giống như Play Services bổ sung các tính năng và API mới mà không yêu cầu cập nhật chương trình cơ sở, nó cũng có thể được sử dụng để cắm các lỗ hổng bảo mật. Cách đây một thời gian, Google đã thêm tính năng "xác minh ứng dụng" vào Dịch vụ Google Play như một cách để quét bất kỳ ứng dụng nào cho nội dung độc hại trước khi chúng được cài đặt. Hơn nữa, nó được bật theo mặc định. Trong Android 4.2 trở lên, nó nằm trong Cài đặt> Bảo mật; trên các phiên bản cũ hơn, bạn sẽ tìm thấy nó trong Cài đặt Google> Xác minh ứng dụng. Như Sundar Pichai đã nói tại Google I / O 2014, 93 phần trăm người dùng hoạt động là trên phiên bản mới nhất của dịch vụ Google Play. Ngay cả LG Optimus Vu cổ đại của chúng tôi, chạy Android 4.0.4 Ice Cream Sandwich, cũng có tùy chọn "xác minh ứng dụng" từ Play Services để bảo vệ chống lại phần mềm độc hại.

Google đã xác nhận với Android Central rằng tính năng "xác minh ứng dụng" và Google Play đã được cập nhật để bảo vệ người dùng khỏi vấn đề này. Thật vậy, các lỗi bảo mật cấp ứng dụng như thế này chính xác là những gì tính năng "xác minh ứng dụng" được thiết kế để đối phó. Điều này hạn chế đáng kể tác động của Fake ID đối với bất kỳ thiết bị nào chạy phiên bản cập nhật của Google Play Services - khác xa với tất cả các thiết bị Android dễ bị tấn công, hành động của Google để xử lý Fake ID thông qua Play Services một cách hiệu quả trước khi vấn đề được công khai hiểu biết.

Chúng tôi sẽ tìm hiểu thêm khi thông tin về lỗi có sẵn tại Black Hat. Nhưng vì trình xác minh ứng dụng và Cửa hàng Play của Google có thể bắt các ứng dụng bằng Fake ID, BlueBox cho rằng "tất cả người dùng Android kể từ tháng 1 năm 2010" có nguy cơ dường như bị phóng đại. (Mặc dù phải thừa nhận, người dùng đang chạy một thiết bị có phiên bản Android không được Google phê duyệt sẽ bị rơi vào tình trạng khó khăn hơn.)

Cho phép Dịch vụ Play đóng vai trò là người gác cổng là một giải pháp ngăn chặn, nhưng nó là một giải pháp khá hiệu quả.

Bất kể, việc Google đã biết về Fake ID kể từ tháng 4, rất khó có khả năng bất kỳ ứng dụng nào sử dụng khai thác sẽ xuất hiện trên Play Store trong tương lai. Giống như hầu hết các vấn đề bảo mật của Android, cách dễ nhất và hiệu quả nhất để xử lý Fake ID là thông minh về nơi bạn nhận ứng dụng của mình.

Chắc chắn, ngăn chặn một lỗ hổng bị khai thác không giống như loại bỏ nó hoàn toàn. Trong một thế giới lý tưởng, Google sẽ có thể đẩy một bản cập nhật qua mạng cho mọi thiết bị Android và loại bỏ vấn đề này mãi mãi, giống như Apple làm. Để Dịch vụ Play và Cửa hàng Play đóng vai trò là người gác cổng là một giải pháp ngăn chặn, nhưng với quy mô và bản chất ngổn ngang của hệ sinh thái Android, đây là một giải pháp khá hiệu quả.

Không có gì ổn khi nhiều nhà sản xuất vẫn mất quá nhiều thời gian để đưa ra các bản cập nhật bảo mật quan trọng cho các thiết bị, đặc biệt là những thiết bị ít được biết đến, vì các vấn đề như thế này có xu hướng nổi bật. Nhưng nó tốt hơn nhiều so với không có gì.

Điều quan trọng là phải nhận thức được các vấn đề bảo mật, đặc biệt nếu bạn là người dùng Android am hiểu công nghệ - loại người thường xuyên tìm đến để được giúp đỡ khi gặp sự cố với điện thoại của họ. Nhưng đó cũng là một ý tưởng tốt để giữ mọi thứ trong tầm nhìn, và hãy nhớ rằng đó không chỉ là lỗ hổng quan trọng, mà còn là vectơ tấn công có thể. Trong trường hợp hệ sinh thái do Google kiểm soát, Play Store và Play Services là hai công cụ mạnh mẽ mà Google có thể xử lý phần mềm độc hại.

Vì vậy, giữ an toàn và giữ thông minh. Chúng tôi sẽ cập nhật cho bạn bất kỳ thông tin nào khác về Fake ID từ các OEM Android chính.

Cập nhật: Người phát ngôn của Google đã cung cấp cho Android Central thông báo sau:

"Chúng tôi đánh giá cao Bluebox có trách nhiệm báo cáo lỗ hổng này cho chúng tôi; nghiên cứu của bên thứ ba là một trong những cách Android được tạo ra mạnh mẽ hơn cho người dùng. Sau khi nhận được thông tin về lỗ hổng này, chúng tôi đã nhanh chóng phát hành một bản vá được phân phối cho các đối tác Android, cũng như cho AOSP Ứng dụng Google Play và Xác minh cũng đã được tăng cường để bảo vệ người dùng khỏi sự cố này. Tại thời điểm này, chúng tôi đã quét tất cả các ứng dụng được gửi tới Google Play cũng như những Google đã xem xét từ bên ngoài Google Play và chúng tôi không thấy bằng chứng nào về việc đã thử khai thác lỗ hổng này."

Sony cũng đã nói với chúng tôi rằng họ đang nỗ lực để đưa ra bản sửa lỗi Fake ID cho các thiết bị của mình.